Llevar a cabo una investigación de Detectives - Amazon Detective

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Llevar a cabo una investigación de Detectives

Utilice Ejecutar investigación para analizar recursos como usuarios y roles de IAM y para generar un informe de investigación. El informe generado detalla un comportamiento anómalo que indica un posible compromiso.

Console

Sigue estos pasos para ejecutar una investigación detectivesca desde la página de Investigaciones con la consola Amazon Detective.

  1. Inicie sesión en la consola AWS de administración. A continuación, abra la consola de Detectives en https://console.aws.amazon.com/detective/.

  2. En el panel de navegación, elija Investigaciones.

  3. En la página de investigaciones, selecciona Ejecutar una investigación en la esquina superior derecha.

  4. En la sección Seleccionar un recurso, tienes tres formas de llevar a cabo una investigación. Puede optar por ejecutar la investigación para obtener un recurso recomendado por el Detective. Puedes ejecutar la investigación para un recurso específico. También puede investigar un recurso desde la página Búsqueda de Detective.

    1. Choose a recommended resource— El Detective recomienda recursos en función de su actividad de búsqueda y búsqueda de grupos. Para ejecutar la investigación de un recurso recomendado por el Detective, en la tabla Recursos recomendados, seleccione el recurso que desee investigar.

      La tabla Recursos recomendados proporciona los siguientes detalles:

      • ARN del recurso: el nombre del recurso de Amazon (ARN) del recurso. AWS

      • Motivo para investigar: muestra los motivos principales para investigar el recurso. Los motivos por los que Detective recomienda investigar un recurso son los siguientes:

        • Si un recurso ha estado implicado en un resultado de gravedad alta en las 24 últimas horas.

        • Si un recurso ha estado implicado en un grupo de resultados observado en los 7 últimos días. Los grupos de resultados de Detective le permiten examinar varias actividades en relación con un posible evento de seguridad. Para obtener más información, consulta Análisis de grupos de resultados.

        • Si un recurso ha estado implicado en un resultado en los 7 últimos días.

      • Resultado más reciente: los resultados más recientes se ordenan por prioridad en la parte superior de la lista.

      • Tipo de recurso: identifica el tipo de recurso. Por ejemplo, un AWS usuario o AWS un rol.

    2. Specify an AWS role or user with an ARN— Puede seleccionar un AWS rol o un AWS usuario y realizar una investigación para el recurso específico.

      Siga estos pasos para investigar un tipo de recurso específico.

      1. En la lista desplegable Seleccione el tipo de recurso, elija el AWS rol o AWS el usuario.

      2. Introduzca el ARN del recurso de IAM. Para obtener más información sobre Resource ARNs, consulte Amazon Resource Names (ARNs) en la Guía del usuario de IAM.

    3. Find a resource to investigate from the Search page— Puede buscar todos sus recursos de IAM en la página de Búsqueda de Detectives.

      Siga estos pasos para investigar un recurso desde la página de búsqueda.

      1. En el panel de navegación, elija Buscar.

      2. En la página de búsqueda, busque un recurso de IAM.

      3. Vaya a la página de perfil del recurso y realice una investigación desde allí.

  5. En la sección Tiempo del alcance de la investigación, elija el tiempo del alcance de la investigación para evaluar la actividad del recurso seleccionado. Puede seleccionar una Fecha de inicio y una Hora de inicio, así como una Fecha de finalización y una Hora de finalización en formato UTC. El intervalo de tiempo del rango seleccionado puede oscilar entre un mínimo de 3 horas y un máximo de 30 días.

  6. Seleccione Ejecutar investigación.

API

Para ejecutar una investigación mediante programación, utilice la StartInvestigationoperación de la API Detective. Para ejecutar una investigación con el comando AWS Command Line Interface (AWS CLI), ejecute el comando start-investigation.

En la solicitud, utilice estos parámetros para ejecutar una investigación en Detective:

  • GraphArn: especifique el nombre de recurso de Amazon (ARN) del gráfico de comportamiento.

  • EntityArn: especifique el nombre de recurso de Amazon (ARN) único del usuario de IAM y del rol de IAM.

  • ScopeStartTime: opcionalmente, especifique la fecha y la hora para comenzar la investigación. El valor es una cadena con formato UTC ISO86 01. Por ejemplo, 2021-08-18T16:35:56.284Z.

  • ScopeEndTime: opcionalmente, especifique la fecha y la hora para finalizar la investigación. El valor es una cadena con formato UTC ISO86 01. Por ejemplo, 2021-08-18T16:35:56.284Z.

Este ejemplo está formateado para Linux, macOS o Unix y utiliza el carácter de barra invertida (\) de continuación de línea para mejorar la legibilidad.

aws detective start-investigation \
--graph-arn arn:aws:detective:us-east-1:123456789123:graph:fdac8011456e4e6182facb26dfceade0
 --entity-arn arn:aws:iam::123456789123:role/rolename --scope-start-time 2023-09-27T20:00:00.00Z 
--scope-end-time 2023-09-28T22:00:00.00Z

También puede ejecutar una investigación desde las siguientes páginas de Detective:

  • Una página de perfil de usuario o de rol de IAM en Detective.

  • Panel de visualización de gráficos de un grupo de resultados.

  • Columna de acciones de un recurso implicado.

  • Usuario de IAM o rol de IAM en una página de resultados.

Cuando Detective ejecuta la investigación de un recurso, se genera un informe de investigación. Para acceder al informe, vaya a Investigaciones desde el panel de navegación.